Windows Server 2016 の新機能

この記事では、Windows Server 2016 の新機能のうち、このリリースを使用する場合に大きな影響を与える可能性が最も高い機能について、いくつか説明します。

Compute

仮想化の領域には、Windows Server を設計、展開、および保守する IT プロフェッショナル向けの仮想化製品および機能が含まれます。

全般

物理マシンと仮想マシンは、Win32 の時刻と Hyper-V の時刻同期サービスが向上したことによる時刻の精度の向上を享受できます。 Windows Server は、UTC に対して 1 ms の精度を必要とする今後の規制に準拠しているサービスをホストできるようになりました。

Hyper-V

Hyper-V ネットワーク仮想化 (HNV) は、マイクロソフトの更新されたソフトウェア定義ネットワーク (SDN) ソリューションの基本的な構成要素であり、SDN スタックに完全に統合されています。 Windows Server 2016 には、Hyper-V の次の変更が含まれています。

• Windows Server 2016 に、プログラム可能な Hyper-V スイッチが追加されました。 マイクロソフトのネットワーク コントローラーは、Open vSwitch Database Management Protocol (OVSDB) を SouthBound Interface (SBI) として使用し、各ホストで実行されているホスト エージェントに HNV ポリシーをプッシュします。 ホスト エージェントは、VTEP スキーマのカスタマイズを使用してこのポリシーを保存し、Hyper-V スイッチのパフォーマンスの高いフロー エンジンに複雑なフロー ルールをプログラムします。 Hyper-V スイッチのフロー エンジンは、Azure で使用されるフロー エンジンと同じです。 ネットワーク コントローラーとネットワーク リソース プロバイダーを介した SDN スタック全体も Azure と一貫性があり、そのパフォーマンスは Azure パブリック クラウドと同等になります。 マイクロソフトのフロー エンジン内では、Hyper-V スイッチは、スイッチ内でのパケットの処理方法を定義するシンプルな一致アクション メカニズムを通じてステートレス フロー ルールとステートフル フロー ルールの両方を処理する機能を備えています。

• HNV で、Virtual eXtensible Local Area Network (VXLAN) プロトコルのカプセル化がサポートされるようになりました。 HNV は、マイクロソフト ネットワーク コントローラーを通じて MAC 配布モードの VXLAN プロトコルを使用し、テナントのネットワーク IP アドレスを物理的なアンダーレイ ネットワーク IP アドレスにマップします。 NVGRE および VXLAN タスク オフロードは、パフォーマンスを向上させるためにサードパーティ ドライバーをサポートします。

• Windows Server 2016 には、仮想ネットワーク トラフィックおよび HNV とのシームレスな対話機能を完全にサポートするソフトウェア ロード バランサー (SLB) が含まれています。 パフォーマンスの高いフロー エンジンがデータ プレーン v-スイッチで SLB を実装した後、ネットワーク コントローラーが仮想 IP (VIP) または動的 IP (DIP) マッピング用に制御します。

• HNV は、業界標準のプロトコルに依存するサードパーティの仮想および物理アプライアンスとの相互運用性を確保するために、正しい L2 イーサネット ヘッダーを実装します。 マイクロソフトは、相互運用性を確保するため、送信されるすべてのパケットのすべてのフィールドに準拠する値があることを保証しています。 NVGRE や VXLAN などのカプセル化プロトコルによって生じるパケット オーバーヘッドを考慮に入れるため、HNV では、物理 L2 ネットワークのジャンボ フレーム (MTU > 1780) のサポートが求められています。 ジャンボ フレームのサポートにより、HNV 仮想ネットワークに接続されているゲスト仮想マシンで 1514 MTU が維持されます。

• Windows コンテナーのサポートによって、Windows 10 でパフォーマンスの向上、ネットワーク管理の簡素化、および Windows コンテナーのサポートが実現しています。 詳しくは、「コンテナー: Docker、Windows、およびトレンド」をご覧ください。

Nano Server

Nano Server の新機能。 Nano Server には、物理ホストとゲスト仮想マシンの機能の分離や、異なる Windows Server エディションのサポートを含む、Nano Server イメージを構築するための最新モジュールが追加されました。

回復コンソールにも、受信と送信のファイアウォール ルールの分離、WinRM 構成を修復する機能などの機能強化があります。

シールドされた仮想マシン

Windows Server 2016 には、不正に使用されているファブリックから 第 2 世代仮想マシンを保護することを目的として、Hyper-V ベースのシールドされた仮想マシンが用意されています。 Windows Server 2016 で導入された機能を次に示します。

• 新しい [暗号化のサポート] モード。これは、通常の仮想マシンよりも強化された (ただし、 [シールド] モードよりは弱い) 保護を提供する一方で、vTPM、ディスクの暗号化、ライブ マイグレーション トラフィックの暗号化、およびその他の機能 (仮想マシンのコンソール接続や PowerShell ダイレクトなどの便利な直接ファブリック管理機能を含む) を引き続きサポートします。

• 自動化されたディスクの暗号化を含め、既存のシールドされていない第 2 世代仮想マシンからシールドされた仮想マシンへの変換を完全にサポートします。

• Hyper-V Virtual Machine Manager では、シールドされた仮想マシンの実行が許可された時点でファブリックを表示できるようになりました。このため、ファブリック管理者がシールドされた仮想マシンのキーの保護機能 (KP) を開き、仮想マシンの実行を許可されているファブリックを表示するための方法になります。

• 実行中のホスト ガーディアン サービスの構成証明モードを切り替えることができます。 安全性が低い一方で単純な Active Directory ベースの構成証明と、TPM ベースの構成証明をその場で切り替えることができるようになりました。

• 保護された Hyper-V ホストとホスト ガーディアン サービスの両方の構成で誤りやエラーを検出できる Windows PowerShell ベースのエンド ツー エンドの診断ツール。

• シールドされた仮想マシン自体と同じレベルの保護機能を提供しながら、通常実行されるファブリック内のシールドされた仮想マシンを安全にトラブルシューティングし、修復をするための手段を提供する回復環境。

• ホスト ガーディアン サービスによる既存の安全な Active Directory のサポート。独自の Active Directory インスタンスを作成するのではなく、既存の Active Directory フォレストを Active Directory として使用するようにホスト ガーディアン サービスに対して指示できます。

シールドされた仮想マシンの操作の詳細および手順については、「保護されたファブリックとシールドされた VM」を参照してください。

ID およびアクセス

ID での新機能では、組織が Active Directory 環境をセキュリティで保護する機能が強化され、クラウドのみの展開およびハイブリッドの展開に移行するために役立ちます。ハイブリッドの展開では、一部のアプリケーションとサービスはクラウドでホストされ、それ以外はオンプレミスでホストされます。

Active Directory 証明書サービス

Windows Server 2016 の Active Directory 証明書サービス (AD CS) では、TPM キーの構成証明のサポートが強化されます。キーの構成証明にスマート カード KSP を使用でき、ドメインに参加していないデバイスで NDES の登録を使用して、TPM にあるキーを証明できる証明書を取得できるようになりました。

[Active Directory Domain Services]

Active Directory ドメイン サービスでは、Active Directory 環境をセキュリティで保護し、会社と個人の両方のデバイスの優れた ID 管理環境を実現するのに役立つ機能強化が図られています。 詳細については、Windows Server 2016 の Active Directory Domain Services (AD DS) の新機能に関するページを参照してください。

Active Directory フェデレーション サービス

Windows Server 2016 の Active Directory フェデレーション サービス (AD FS) には、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリに格納されているユーザーを認証するよう AD FS を構成できる新機能が追加されています。 詳細については、Windows Server 2016 の AD FS の新機能に関する記事を参照してください。

Web アプリケーション プロキシ

Web アプリケーション プロキシの最新バージョンでは、より多くのアプリケーションの発行と事前認証を可能にする新機能に力を入れており、ユーザー エクスペリエンスの向上が図られています。 新機能の一覧をご覧ください。Exchange ActiveSync などのリッチ クライアント アプリの事前認証や、SharePoint アプリの発行を容易にするワイルドカード ドメインなどがあります。 詳細については、「Web Application Proxy in Windows Server 2016 (Windows Server 2016 の Web アプリケーション プロキシ)」を参照してください。

管理

管理と自動化の領域では、Windows PowerShell など Windows Server 2016 を実行および管理する IT プロフェッショナル向けのツールとリファレンス情報に焦点を合わせています。

Windows PowerShell 5.1 に追加された重要な新機能には、クラスを使った開発のサポートや新しいセキュリティ機能があります。それらの機能により、用途が広がり、使いやすさが向上し、Windows ベースの環境をより簡単かつ包括的に制御して管理できます。 詳細については、「WMF 5.1 の新しいシナリオと機能」を参照してください。

Windows Server 2016 には、Nano Server で PowerShell.exe を実行する機能 (リモートのみではなくなりました)、GUI に代わる新しいローカル ユーザーとグループのコマンドレット、PowerShell デバッグのサポートの追加、セキュリティ ログとトランスクリプションおよび JEA に対するサポートの Nano Server への追加など、新しい追加機能があります。

次に、その他の新しい管理機能を示します。

Windows Management Framework (WMF) 5 の PowerShell Desired State Configuration (DSC)

Windows Management Framework 5 には、Windows PowerShell Desired State Configuration (DSC)、Windows リモート管理 (WinRM)、および Windows Management Instrumentation (WMI) に対する更新が含まれています。

Windows Management Framework 5 の DSC 機能のテストに関する詳細については、PowerShell DSC の機能の検証に関する一連のブログ記事を参照してください。 ダウンロードするには、Windows Management Framework 5.1 に関するページを参照してください。

PackageManagement 統合パッケージ管理によるソフトウェアの検出、インストール、およびインベントリ

Windows Server 2016 および Windows 10 には、新しい PackageManagement 機能 (旧称 OneGet) が含まれています。この機能により、IT 技術者や DevOps は、インストーラーのテクノロジやソフトウェアの配置場所にかかわらず、ソフトウェアの検出、インストール、およびインベントリ (SDII) をローカルまたはリモートで自動化できます。

詳細については、「https://github.com/OneGet/oneget/wiki」を参照してください。

デジタル法科学を支援し、セキュリティ侵害の減少に役立つ PowerShell の機能強化

セキュリティが侵害されたシステムの調査を担当するチーム ("ブルー チーム" とも呼ばれます) を支援するために、PowerShell にログおよびその他のデジタル法科学機能が追加されたほか、スクリプトの脆弱性を減らし (制約付きの PowerShell など)、CodeGeneration API をセキュリティで保護するのに役立つ機能が追加されました。

詳細については、ブログ記事「PowerShell ♥ the Blue Team」を参照してください。

ネットワーク

ネットワークの領域では、IT プロフェッショナルが Windows Server 2016 を設計、展開、保守するためのネットワーク製品および機能を扱っています。

ソフトウェアによるネットワーク制御

新規または既存の仮想アプライアンスにトラフィックをミラーすることとルート指定することの両方ができるようになりました。 分散型のファイアウォールとネットワーク セキュリティ グループと合わせて、これにより、Azure と同様の方法でワークロードを動的にセグメント化し、セキュリティで保護できます。 次に、System Center Virtual Machine Manager を使用して、ソフトウェアによるネットワーク制御 (SDN) スタック全体を展開および管理できます。 さらに、Docker を使用して、Windows Server コンテナー ネットワーキングを管理し、仮想マシンとだけでなくコンテナーとも SDN ポリシーを関連付けできます。 詳細については、「ソフトウェア定義ネットワーク インフラストラクチャを計画する」を参照してください。

TCP パフォーマンスの向上

既定の初期輻輳ウィンドウ (ICW) が 4 から 10 に増加し、TCP Fast Open (TFO) が実装されました。 TFO により TCP 接続の確立に必要な時間が短縮されるほか、ICW の増加により、初期バーストでさらに大きなオブジェクトを転送できるようになりました。 この組み合わせにより、クライアントとクラウドの間でインターネット オブジェクトを転送するのに必要な時間をさらに短くできます。

パケット損失から回復する際の TCP 動作を改善するために、TCP Tail Loss Probe (TLP) と Recent Acknowledgment (RACK) が実装されました。 TLP は、再転送タイムアウト (RTO) を高速回復に変換する際に役立ちます。また、RACK は高速回復の所要時間を短縮し、損失パケットを再転送します。

セキュリティおよび保証

セキュリティおよび保証の領域には、IT プロフェッショナルがデータ センターとクラウド環境に展開するセキュリティ ソリューションおよび機能が含まれます。 Windows Server 2016 でのセキュリティについては、「セキュリティおよび保証」を参照してください。

Just Enough Administration

Windows Server 2016 の Just Enough Administration は、Windows PowerShell で管理可能なすべての対象について代理管理を実現するセキュリティ テクノロジです。 機能には、ネットワーク ID での実行、PowerShell ダイレクト経由での接続、JEA エンドポイントとの間での安全なファイル コピー、既定で JEA コンテキストで起動する PowerShell コンソールの構成のサポートが含まれます。 詳細については、GitHub での JEA に関する記事を参照してください。

Credential Guard

Credential Guard は、特権を持つシステム ソフトウェアだけがシークレットにアクセスできるように、仮想化ベースのセキュリティを使用してシークレットを分離します。 詳細については、次を参照してください。 派生した資格情報 Guard でのドメイン資格情報を保護するです。

Windows Server 2016 用の Credential Guard には、サインイン済みユーザー セッションに関する次の更新プログラムが含まれています。

• Kerberos および New Technology LAN Manager (NTLM) は、仮想化ベースのセキュリティを使用し、サインイン済みユーザー セッションの Kerberos および NTLM シークレットを保護します。

• 資格情報マネージャーは、仮想化ベースのセキュリティを使用して保存されたドメイン資格情報を保護します。 サインイン済み資格情報と保存済みドメイン資格情報は、リモート デスクトップを使用してリモート ホストに渡されません。

• Unified Extensible Firmware Interface (UEFI) ロックを使用せずに Credential Guard を有効にすることができます。

Remote Credential Guard

Credential Guard では RDP セッションがサポートされるため、ユーザーの資格情報はクライアント側に保持されたままで、サーバー側では公開されません。 また、リモート デスクトップにシングル サインオンも提供します。 詳しくは、「Windows Defender Credential Guard によるドメインの派生資格情報の保護」を参照してください。

Windows Server 2016 用の Remote Credential Guard には、サインイン済みユーザーに関する次の更新プログラムが含まれています。

• Remote Credential Guard は、サインイン済みユーザー資格情報の Kerberos および NTLM シークレットをクライアント デバイスに保持します。 ネットワーク リソースをユーザーとして評価するためのリモート ホストからの認証要求では、クライアント デバイスがシークレットを使用する必要があります。

• Remote Credential Guard は、リモート デスクトップの使用時に提供されたユーザー資格情報を保護します。

ドメインの保護

ドメイン保護には、Active Directory ドメインが必要になりました。

公開キーを使用した認証に対するドメイン参加デバイスのサポート

ドメイン参加デバイスが、バインドされた公開キーを Windows Server 2016 ドメイン コントローラー (DC) に登録できる場合、デバイスは Windows Server 2016 DC に対する Kerberos PKINIT 認証を使用して公開キーで認証できます。

Windows Server 2016 ドメイン コントローラーに登録されたバインド済み公開キーを持つドメイン参加デバイスは、Kerberos Public Key Cryptography for Initial Authentication (PKINIT) プロトコルを使用して Windows Server 2016 ドメイン コントローラーに対して認証できるようになりました。

キー配布センター (KDC) では、Kerberos キー信頼を使用した認証がサポートされるようになりました。

詳細については、「 Kerberos 認証の新機能」を参照してください。

PKINIT フレッシュネス拡張機能のサポート

Kerberos クライアントは、公開キー ベースのサインオンに対して PKINIT Freshness Extension を試みるようになりました。

KDC により PKInit Freshness Extension がサポートされるようになりました。 ただし、既定では PKINIT Freshness Extension は提供されません。

詳細については、「 Kerberos 認証の新機能」を参照してください。

公開キーのみのユーザーの NTLM シークレットをロールする

Windows Server 2016 ドメイン機能レベル (DFL) 以降、DC で、公開キーのみのユーザーの NTLM シークレットのローリングがサポートされるようになりました。 この機能は、下位ドメイン機能レベル (DFL) では使用できません。

警告

NTLM シークレットのローリングをサポートしている、2016 年 11 月 8 日より前に有効になった DC をドメインに追加すると、DC がクラッシュする可能性があります。

新しいドメインの場合、この機能は既定で有効になっています。 既存のドメインの場合、Active Directory 管理センターで構成する必要があります。

Active Directory 管理センターで、左側のウィンドウでドメインを右クリックし、[プロパティ] を選択します。 [対話型ログオンに Windows Hello for Business またはスマート カードを使用する必要があるユーザーに対して、サインオン時に期限切れの NTLM シークレットのローリングを有効にする] チェック ボックスをオンにします。 その後、[OK] を選択してこの変更を適用します。

ユーザーが特定のドメイン参加済みデバイスに制限されている場合にネットワーク NTLM の許可する

DC では、Windows Server 2016 DFL 以降でユーザーが特定のドメイン参加デバイスに制限されている場合、ネットワーク NTLM の許可をサポートできるようになりました。 この機能は、Windows Server 2016 より前のオペレーティング システムを実行している DFL では使用できません。

この設定を構成するには、認証ポリシーで [ユーザーが選択したデバイスに制限されている場合に、NTLM ネットワーク認証を許可する] をオンにします。

詳細については、「認証ポリシーと認証ポリシー サイロ」を参照してください。

Device Guard (コードの整合性)

Device Guard は、サーバーで実行できるコードを指定するポリシーを作成することで、カーネル モードのコードの整合性 (KMCI) とユーザー モードのコードの整合性 (UMCI) を提供します。 「Windows Defender Device Guard の概要: 仮想化ベースのセキュリティとコードの整合性ポリシー」を参照してください。

Windows Defender

Windows Server 2016 用 Windows Defender の概要。 Windows Server 2016 では既定で Windows Server Antimalware がインストールされ、有効になりますが、Windows Server Antimalware のユーザー インターフェイスはインストールされません。 ただし、ユーザー インターフェイスがなくても、Windows Server Antimalware により、マルウェア対策の定義が更新され、コンピューターが保護されます。 Windows Server Antimalware のユーザー インターフェイスが必要な場合は、オペレーティング システムのインストール後に役割と機能の削除ウィザードを使ってインストールできます。

制御フロー ガード

制御フロー ガード (CFG) は、メモリ破損の脆弱性に対処するために作成されたプラットフォームのセキュリティ機能です。 詳細については、「Control Flow Guard (制御フロー ガード)」を参照してください。

ストレージ

Windows Server 2016のストレージには、ソフトウェア定義ストレージと従来のファイルサーバーのための新機能と機能強化が含まれています。 新機能のいくつかを以下に示します。強化機能および詳細情報については、「What's New in Storage in Windows Server 2016 (Windows Server 2016 の記憶域の新機能)」を参照してください。

記憶域スペース ダイレクト

記憶域スペース ダイレクトでは、ローカル記憶域を持つサーバーを使用して高可用性を備えた拡張性の高い記憶域を作成できます。 ソフトウェア定義ストレージ システムの展開と管理を簡素化し、SATA SSD や NVMe ディスク デバイスなどの新しいクラスのディスク デバイスを使用できるようにします。これは、共有ディスクを使用したクラスター記憶域スペースによるこれまでの環境では実現できませんでした。

詳細については、記憶域スペース ダイレクトに関する記事を参照してください。

記憶域レプリカ

Storage Replicaは、ディザスタリカバリのためのサーバやクラスタ間で、ストレージにとらわれないブロックレベルの同期レプリケーションを可能にし、サイト間のフェイルオーバークラスタのストレッチを可能にします。 同期レプリケーションは、クラッシュ前後の整合性が維持されるボリュームを使用した物理サイト内のデータのミラーリングを実現して、ファイル システム レベルでデータがまったく失われないようにします。 非同期レプリケーションでは、データが失われる可能性はありますが、大都市圏の範囲を超えてサイトを拡張できます。

詳細については、記憶域レプリカに関する記事を参照してください。

記憶域のサービスの品質 (QoS)

記憶域のサービスの品質 (QoS) を使用して、Windows Server 2016 でエンド ツー エンドの記憶域のパフォーマンスを一元的に監視すると共に、Hyper-V クラスターと CSV クラスターを使用してポリシーを作成できるようになりました。

詳細については、「記憶域のサービスの品質」を参照してください。

フェールオーバー クラスタリング

Windows Server 2016には、フェールオーバークラスタリング機能を使用して、複数のサーバーを1つのフォールトトレラントクラスタにグループ化するための多くの新機能と機能強化が含まれています。 追加機能のいくつかを以下に紹介します。詳細については、「What's New in Failover Clustering in Windows Server 2016 (Windows Server 2016 のフェールオーバー クラスタリングの新機能)」を参照してください。

Cluster Operating System Rolling Upgrade (クラスター オペレーティング システムのローリング アップグレード)

クラスター オペレーティング システムのローリング アップグレードを使用すると、管理者は、Hyper-V またはスケールアウト ファイル サーバーのワークロードを停止することなく、クラスター ノードのオペレーティング システムを Windows Server 2012 R2 から Windows Server 2016 にアップグレードできます。 この機能を使用すると、サービス レベル アグリーメント (SLA) でのダウンタイムに対するペナルティを回避できます。

詳細については、「Cluster Operating System Rolling Upgrade (クラスター オペレーティング システムのローリング アップグレード)」を参照してください。

クラウド監視

クラウド監視は、Windows Server 2016 の新しい種類のフェールオーバー クラスター クォーラム監視で、Microsoft Azure が判別ポイントとして利用されます。 クラウド監視は、他のクォーラム監視と同様、票を集めるため、クォーラム計算に参加できます。 クラウド監視をクォーラム監視として構成するには、クラスター クォーラムの構成ウィザードを使用します。

詳細については、クラウド監視の展開に関する記事を参照してください。

ヘルスサービス

ヘルスサービスにより、記憶域スペース ダイレクト クラスターのクラスター リソースにおける日常的な監視、操作、メンテナンスのエクスペリエンスが向上します。

詳細については、ヘルス サービスに関する記事を参照してください。

アプリケーションの開発

インターネット インフォメーション サービス (IIS) 10.0

Windows Server 2016 の IIS 10.0 Web サーバーにより提供される新機能は以下のとおりです。

• ネットワーク スタックでの HTTP/2 プロトコルのサポート。IIS 10.0 と統合されたため、IIS 10.0 Web サイトはサポートされる構成の HTTP/2 要求を自動的に処理できるようになりました。 これにより、接続の効率的な再利用、待機時間の短縮など、多くの機能強化が HTTP/1.1 に加えられ、Web ページの読み込み時間が短縮されます。
• Nano Server での IIS 10.0 の実行および管理機能。 「Nano Server の IIS」を参照してください。
• ワイルドカード ホスト ヘッダーのサポート。管理者は、ドメイン向けに Web サーバーをセットアップし、Web サーバーが任意のサブドメインの要求を処理するように設定できます。
• IIS を管理するための新しい PowerShell モジュール (IISAdministration)。

詳細はIISを参照。

分散トランザクション コーディネーター (MSDTC)

Microsoft Windows 10 と Windows Server 2016 に 3 つの新機能が追加されました。

• Resource Manager Rejoin の新しいインターフェイスは、データベースがエラーのために再起動された後に未確定トランザクションの結果を調べるために、リソース マネージャーによって使されます。 詳細については、「IResourceManagerRejoinable::Rejoin」を参照してください。

• DSN 名の制限が 256 バイトから 3072 バイトに拡張されました。 詳細については、「IDtcToXaHelperFactory::Create」、「IDtcToXaHelperSinglePipe::XARMCreate」、または「IDtcToXaMapper::RequestNewResourceManager」を参照してください。

• Tracelogファイル名にイメージファイルのパスを含めるようにレジストリキーを設定することで、どのTracelogファイルをチェックするのかがわかるようになりました。 MSDTC のトレースの構成に関する詳細については、「Windows ベースのコンピューター上の MS DTC の診断トレースを有効にする方法 」を参照してください。

DNS サーバー

Windows Server 2016には、ドメイン・ネーム・システム（DNS）サーバーに関する以下の更新が含まれています。

DNS ポリシー

DNS ポリシーを構成して、DNS サーバーが DNS クエリにどのように応答するかを指定できます。 クライアントのIPアドレス、時間帯、その他いくつかのパラメータに基づいてDNS応答を設定することができます。 DNSポリシーは、ロケーションアウェアDNS、トラフィック管理、ロードバランシング、スプリットブレインDNS、その他のシナリオを可能にします。 詳細については、DNS ポリシーのシナリオに関するガイドを参照してください。

RRL

DNSサーバーで応答速度制限（RRL）を有効にすると、悪意のあるシステムがDNSサーバーを使用してDNSクライアントに分散型サービス拒否（DDoS）攻撃を仕掛けるのを防ぐことができます。 RRLは、DNSサーバーが一度に多くのリクエストに応答するのを防ぎます。これは、ボットネットがサーバーの運用を妨害するために一度に複数のリクエストを送信するシナリオにおいて、DNSサーバーを保護します。

DANE のサポート

DNS-based Authentication of Named Entities（DANE）サポート（>RFC6394 とRFC6698）を使用して、DNSサーバーでホストされているドメイン名に対して、DNSクライアントがどの認証局からの証明書を期待するかを指定できます。 これは、悪意のある行為者がDNSキャッシュを破壊し、DNS名を自分のIPアドレスに向けるという、一種の中間者攻撃を防ぐものである。

不明なレコードのサポート

DNSサーバーが明示的にサポートしていないレコードを追加するには、不明レコード機能を使用します。 レコードが不明なのは、DNSサーバーがそのRDATA形式を認識しない場合である。 Windows Server 2016は不明レコードタイプ（RFC 3597）をサポートしているため、バイナリー・オンワイヤー形式でWindows DNSサーバーゾーンに不明レコードを追加できます。 ウィンドウズ・キャッシュ・リゾルバはすでに不明レコードタイプを処理できます。 Windows DNSサーバーは不明レコードに対してレコード固有の処理を行わないが、受け取ったクエリに応答してレコードを送信することができます。

IPv6 ルート ヒント

Windows DNSサーバーは、インターネット割り当て番号機関（IANA）によって公開されたIPv6ルートヒントを含むようになりました。 IPv6ルートヒントのサポートにより、IPv6ルートサーバーを使用して名前解決を実行するインターネットクエリーを行うことができます。

Windows PowerShell のサポート

Windows Server 2016には、PowerShellでDNSを構成するために使用できる新しいコマンドが含まれています。 詳細については、Windows Server 2016 DnsServer モジュールおよびWindows Server 2016 DnsClient モジュールを参照してください。

DNS クライアント

DNS クライアント サービスでは、複数のネットワーク インターフェイスを持つコンピューターのサポートが強化されました。

マルチホーム コンピューターでは、DNS クライアント サービス バインドを使用してサーバーの解決を改善することもできます。

• 特定のインターフェイスで構成された DNS サーバーを使用して DNS クエリを解決するとき、DNS クライアントはクエリを送信する前にインターフェイスにバインドします。 このバインドにより、DNS クライアントは名前解決を行う必要があるインターフェイスを指定し、ネットワーク インターフェイス経由でアプリケーションおよび DNS クライアント間の通信を最適化できます。

• 使用している DNS サーバーが、名前解決ポリシー テーブル (NRPT) のグループ ポリシー設定によって指定される場合、DNS クライアント サービスは指定されたインターフェイスにバインドされません。

Note

Windows 10 の DNS クライアント サービスへの変更点は、Windows Server 2016 以降を実行しているコンピューターでも見られます。